安全是重中之重银行的劳动,但这家金融机构每年只更新一次正式的信息安全政策,可能是两次,不管在不断变化的威胁环境中发生了什么。
这并不是说工会银行忽视新出现的威胁,例如新的恶意软件变体或网络钓鱼计划,Shaun Miller表示,该银行的信息安全官员表示。相反,该组织在堪萨斯城,堪萨斯州,堪萨斯州,地区加上华盛顿的办事处,常规调整其防火墙和入侵保护系统,以应对新的和积极的威胁。然而,为了避免疲劳120个用户,它会更频繁地抑制新的政策。
米勒说:“我们制定政策的目的是保持高水平,而不是覆盖所有可能发生的情况。”“我们为日常事务更新程序,但当涉及到我们在安全方面的战略方向时,我们以有限的方式改变我们的政策,以避免淹没用户。”
劳动银行并不孤单。鉴于威胁景观的变化有多快,一家公司可能很难将某些东西作为企业安全模型修改为刚性,以便与每种新的攻击矢量保持步伐。在最近的一项关于287 U.S.的IT和商业专业人员,CIO和CSO进行的,33%的受访者表示,他们为拥有相同模型的组织为信息安全管理提供了五年或更长时间的组织。同时,23%表示,他们的模型已经到达了三到五年,33%的人表示一到三年,只有11%的人表示不到一年。
然而,50%的受访者表示,他们的组织正在考虑改变他们的信息安全管理模式。当该小组成员被问及是什么因素促使他们的雇主考虑改变时,排名前三的回答是对泄露和数据丢失的担忧(144名受访者中有78%提到了这一问题)、技术进步和升级(53%)和监管合规(49%)。
CIO / Computerworld / CSO
采用Infosec政策变更的频率如何是一个难题。公司需要提出一条待灵活的方式,以确保他们的政策和程序反映当前的威胁景观,但他们不能妨碍他们挫败用户并无意中强迫他们考虑绕过企业的新规则和限制规则,解释了Kelley Mak,Analialst福尔特研究.
Mak说,与此同时,企业必须在使用消防策略应对当前最严重的威胁和将信息安全政策作为一项整体战略之间取得平衡。他说:“这并不像获取数据和制定新政策那么简单,因为你必须确保信息工作者不会感到不安。”“你设置的限制越多,就越有可能有人绕过它。”
填补日常差距
这正是米勒试图避免的。劳工银行维护了一个信息安全政策,解决了高级问题,包括银行对安全和广泛规则的总体立场,例如需要员工使用密码来访问数据的任务。只有在董事会批准之后才能解决的政策,也不会进入技术的杂草或拼出详细信息,例如密码的确切字符要求(无论如何可能会随时间变化)。
为了补充广泛的政策,米勒的小组定期修改规则,以解决当前的安全缺口。最近,安全团队阻止了Flash软件的使用,因为它的漏洞广为人知,而且它已经很少用于商业相关网站了。“我们不认为这是政策上的改变,”米勒说。“我们的董事会批准政策,但他们不知道Flash是什么,也不知道它能做什么。这只是一个简单的日常业务应对威胁的例子。”
为了让人们了解最新情况,米勒会发送电子邮件宣布变化,并解释为什么这些变化很重要。米勒说,他经常提供背景信息的链接,他解释说,确保人们理解为什么有必要进行更改,并清楚地了解风险,这有助于防止用户失望,并确保员工愿意遵守即使是很小的政策更改。
测试,测试,测试
负责安全的高级系统经理Devin Meade法兰克福短Bruza(FSB)说,他更喜欢保持安全政策流体,因为建筑工程规划公司相对较小(它有150个用户),并且由于它不受监管要求的直接影响。虽然FSB确实有正式的安全政策,由董事会批准,米德和他的团队批准了新程序的经常建议,使用了大约一半用户的小型指导委员会在推出变更之前征求反馈,以便更广泛的用户观众。
CIO / Computerworld / CSO
“我们对我们的安全姿态进行修补或改变的标准方法是在机器上测试它们,以了解他们如何工作并将它们滚到代表人,”他解释道。然后,指导委员会然后测试更改以确定如何工作的内容以及不适合FSB的用户。
例如,米德和他的团队建议增加加密。但在指导委员会的测试中,发现这些变化使VPN访问过于不稳定和缓慢,所以米德的团队重新开始设计。当团队试图强制执行URL白名单和黑名单以限制用户访问某些“对工作不安全”的网站时,情况也类似。米德说,这一举措并没有像预期的那样奏效,因为当时所涉及的技术还不够成熟。
只有在获得金融稳定委员会指导委员会的批准后,信息安全政策或程序的更改才能在整个公司实施。米德说:“我的工作是告诉(管理团队和业务赞助商)我们可以做什么,以及如果我们做出改变,流程会是怎样的。”“因为我们是一家小公司,我们可以随着技术的变化进行修改。”
大多数组织不像FSB那样灵活,不要频繁更新安全策略,并且许多人不再测试驱动器改变,以衡量福尔斯特的麦克斯特说的是有效的,而不是太笨重。“你找不到很多组织做出适量的测试来识别漏洞,因此对来自人类的环境的效果有什么准确的理解,”他说。
MAK建议公司创建安全意识计划,不仅向员工提供方向,而且强调了拥抱严重的安全文化的重要性。
CIO / Computerworld / CSO
让用户在船上
这种方法很快就会在Fay学校.像劳动银行一样,学校频繁地对其Infosec程序进行了微小的更新,以便跟上新兴的威胁,但制定主要政策只有几次变动了几次,以避免弥撒技术主任Joseph Adu表示,Joseph Adu表示,大众。私立学校,私人学校为一年前从营利部门乘坐船上而上市的毕业生,正在借鉴他在开发学校的IT政策时在商业世界中的经验。除此之外,他正在提出一致的努力,帮助员工感到担任安全。
Adu说,本学年,学校的150名员工和教员将参加面对面和数字培训课程,这些课程每年都会重复,以涵盖重要的信息安全政策变化。此外,今年实施的一项新计划要求新员工在入职后接受安全意识培训。信息安全培训最终也将纳入学校的新员工入职培训过程。这意味着新来者将立即知道,通过电子邮件集体分享个人信息是被禁止的,他们将了解学校如何对特定类型的数据进行分类,以及为什么要这样做,以及其他一些事情。
Adu说,在招聘时提出安全策略是向用户灌输企业文化的一种方式,让他们觉得维护安全最佳实践是有责任的。此外,人们在刚入职时通常更愿意接受指导,所以他们更有可能接受和遵守政策。(该校还为400名学生举办短期培训课程,内容包括安全基础知识,比如禁止共享密码的规定。)
阿杜说:“我们正在努力创造一种文化,让人们知道他们可以依赖IT部门,让他们了解最新的情况。”“但他们也需要明白,数据安全是在这个(组织)工作的重要组成部分,他们也有自己的角色。最难的部分是让人们意识到很多责任落在他们作为终端用户的身上。”
相关视频:
“您的信息安全模型应该有多灵活?”这篇文章最初是由《计算机世界》 .